CVE-2024-47878

Versões do OpenRefine anteriores à 3.8.3

A vulnerabilidade diz respeito ao endpoint /extension/gdata/authorized, que inclui o parâmetro GET state literalmente em uma tag <script> na saída, sem escapar. Isso permite que um invasor direcione ou redirecione um usuário para uma URL maliciosa contendo código JavaScript, que seria então executado no navegador da vítima como se fosse parte do OpenRefine. O parâmetro state é lido do arquivo controller.js e usado no arquivo authorized.vt sem nenhuma verificação de formato ou confirmação de que a página foi aberta como parte do fluxo de autorização. Isso pode levar à execução de JavaScript arbitrário no navegador do usuário, permitindo potencialmente que o código fornecido pelo invasor execute ações como excluir projetos, recuperar senhas de banco de dados ou executar expressões arbitrárias.

Para versões anteriores à 3.8.3, atualize para a versão 3.8.3 para corrigir o problema.

Como solução temporária, considere restringir o acesso ao endpoint /extension/gdata/authorized até que a atualização seja aplicada.